Genel

7545 sayılı Siber Güvenlik Kanunu, 12.03.2025 tarihinde kabul edilmiş, 32846 sayı ve 19.03.2025 tarihli Resmi Gazetede yayımlanarak 19.03.2025 tarihinde yürürlüğe girmiştir.

Siber Güvenlik Nedir? 

Siber ne demek? Türk Dil Kurumuna göre siber genel ağa ait olan, bilgisayara ait olan anlamlarına gelmektedir.

Yine Türk Dil Kurumuna göre siber güvenlik, bilişim sistemlerinde kişiler ve kurumlar arasında oluşturulan iletişim ortamının ve elektronik ortamda paylaşılan bilgilerin bütünlüğünün ve gizliliğinin korunması durumudur.

Kanunun tanımına göre ise siber güvenlik; siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü ifade eder (m.3/f).

Siber Güvenlik Kanunu Nedir? Neden Çıkarılmıştır?

Kanunun amacı, Türkiye Cumhuriyetinin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir (m.1).

Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar. Ancak Polis Vazife ve Salâhiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler istisna tutulmuştur.

Siber Güvenliğin Sağlanmasında Temel İlkeler

Siber güvenliğin sağlanmasında temel ilkeler 4. maddede düzenlenmiştir.

• Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.

• Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.

• Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.

• Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.

• Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.

• Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.

• Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.

• Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.

• Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.

• Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenir.

• Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.

Siber Güvenlik Kanunu ile Belirlenen Suçlar, Kabahatler ve Cezaları

Kanunla düzenlenen yaptırımlar içerisinde hapis cezası, adli para cezası ve idari para cezası yer almaktadır. İdari para cezaları caydırıcılığı yüksek miktarlardır.

İdari para cezalarının uygulanmasından önce ilgilinin savunması alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilir (m.17/1).

Kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamaz (m.17/2).

Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine 21/7/1953 tarihli ve 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilir (m.17/3).

Kanunla belirlenen idari para cezaları ve cezai hükümler şu şekildedir:

• Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.

• Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.

• Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir.

• Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.

• Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.

•  Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan onbeş yıla kadar hapis cezası verilir.

• Yukarıdaki fıkralara göre verilecek ceza suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.

• 12 nci maddeye aykırı davrananlara üç yıldan beş yıla kadar hapis cezası verilir.
  <m.12: Yasak hükümler (1) Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlardan Başkanlık ile herhangi bir nedenle ilişiği kesilenler Başkanlıktan muvafakat almadan iki yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamaz ve bu alanda ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamaz. (2) Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Başkanlıkça yetki verilen durumlar hariç olmak üzere, radyo, televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçları ile her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasaktır.>

• Bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir.

• 7 nci maddenin birinci fıkrasının (b) ve (c) bentlerindeki görev ve sorumluluklarını yerine getirmeyenlere bir milyon Türk lirasından on milyon Türk lirasına kadar, 18 inci maddedeki görev ve sorumluluklarını yerine getirmeyenlere ise on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası verilir.
  <m.7/1-b,c: Sorumluluklar ve iş birliği (1) Bu Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları şunlardır: b) Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek. c) Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek.>
  <m.18: Siber güvenlik ürünleri ve şirketleri (1) Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınır. (2) Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir. (3) Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir. (4) Bu maddenin uygulanmasına ilişkin hususlar Başkanlık tarafından yayımlanacak usul ve esaslar ile belirlenir.>

• 8 inci maddenin dördüncü fıkrasındaki yükümlülüklerini yerine getirmeyenlere, yüzbin Türk lirasından bir milyon Türk lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde yüzbin Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilir.<m.8/4: Denetim (4) Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.>

İdari para cezası kararları kesin nitelikte olmayıp karşı idari yargı yolu açıktır.

Özetle 

Teknolojinin gelişmesiyle birlikte olumlu ve olumsuz gelişmeler de hızla sürmektedir. Teknolojinin olumsuz yanları ile mücadele etmek için birtakım önlemler almak gerekmiştir. Kanun koyucu yüksek yaptırımlar öngörerek siber güvenlik sorunları ile mücadele etmek için yeni bir adım atmış ve konuyu yasalaştırmıştır.

Kanun ile;

Siber güvenlikle ilgili Başkanlık ve Kurul düzenlenmiş, görev ve yetki tanımı yapılmış, temel ilkeler belirlenmiştir. Kanunda siber güvenlik risklerine önem verilmiş, yüksek yaptırımlar öngörülmüş, caydırıcılık ön plana çıkarılmıştır. İdari para cezalarına karşı ise idari yargıda dava açılabileceği özellikle belirtilmiştir.

Devletin istihbarat birimlerinin faaliyetleri kapsam dışı bırakılmıştır.

Sonuç Olarak

Siber güvenliğe ilişkin öngörülen hükümler dikkatle incelenmelidir.

Konuya ilişkin soruşturma açılan kişilerin, durumu öğrendiklerinde gecikmeden bilgi birikimi iyi olan bir avukattan profesyonel olarak hukuki danışmanlık ve gerekirse temsil hizmeti alması faydalı olacaktır.

Avukattan profesyonel yardım alırken gerçek bir avukat olduğundan emin olunuz. Türkiyede avukatlık mesleğini yasal olarak yürüten kişiler avukatlık ruhsatına sahiptir, Türkiye Barolar Birliğine (TBB) ve faaliyet gösterdikleri şehrin barosuna kayıtlıdır, ayrı ayrı TBB ve baro sicil numaraları vardır. Kendisini avukat olarak tanıtan ve mesleğin adını dolandırıcılık suçunda kullanan kişilere karşı dikkatli olunuz.

Av. Sümeyra ATEŞ BOZ
19.03.2025